Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner:TR/Dldr.FraudLoaNC

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2008, 18:10   #1
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Hallo,
vielleicht kennt jemand den o. g. Trojaner, den mir mein AntiVir im 12 sec Turnus anzeigt. Außerdem habe ich eine dauernde Antivirus XP 2008 - Meldung, obwohl ich das Programm garnicht aktiviert habe (hab ichs überhaupt?).
Und zu allem Überfluss steht im Hintergrund meines Desktops ein Antispamplakat. Was geht da ab? Wird man sowas wieder los?
Bin leider nicht besonders versiert in Sachen Rechner. Vielleicht gibts ja ne Rosskur.

Bin um jede verständliche Antwort dankbar.

Grüße Mike

Alt 14.08.2008, 18:30   #2
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Hi Mike,
poste bitte ein HijackThis Logfile, vergiss aber nicht alle Links unkenntlich zu machen, das gleiche gilt für persönliche Namen.
Folge dann diesen Schritten weiter:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier.

mfg
__________________

__________________

Alt 14.08.2008, 18:59   #3
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Hallo,
hoffe das stimmt so
lg mike



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:24, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\lphc92sj0et5l.exe
C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat1.de/index.php?icqpath=icq
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [lphc92sj0et5l] C:\WINDOWS\system32\lphc92sj0et5l.exe
O4 - HKLM\..\Run: [SMrhcc2sj0et5l] C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\PC-BIB\PCLib.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7161 bytes

Grüße Mike
__________________

Alt 14.08.2008, 19:07   #4
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Ok,
mach bitte noch das:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\lphc92sj0et5l.exe
C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 14.08.2008, 20:25   #5
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Datei lphc92sj0et5l.exe empfangen 2008.08.14 21:21:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/36 (22.23%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.14 -
Authentium 5.1.0.4 2008.08.14 -
Avast 4.8.1195.0 2008.08.14 -
AVG 8.0.0.161 2008.08.14 -
BitDefender 7.2 2008.08.14 MemScan:Trojan.FakeAlert.UM
CAT-QuickHeal 9.50 2008.08.14 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.14 -
DrWeb 4.44.0.09170 2008.08.14 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6032 2008.08.14 -
Ewido 4.0 2008.08.14 -
F-Prot 4.4.4.56 2008.08.14 -
F-Secure 7.60.13501.0 2008.08.14 -
Fortinet 3.14.0.0 2008.08.14 -
GData 2.0.7306.1023 2008.08.14 Trojan-Downloader.Win32.FraudLoad.vbde
Ikarus T3.1.1.34.0 2008.08.14 Trojan-Downloader.Win32.Renos.AQ
K7AntiVirus 7.10.415 2008.08.14 -
Kaspersky 7.0.0.125 2008.08.14 Trojan-Downloader.Win32.FraudLoad.vbde
McAfee 5361 2008.08.14 -
Microsoft 1.3807 2008.08.14 -
NOD32v2 3356 2008.08.14 a variant of Win32/TrojanDownloader.FakeAlert.GG
Norman 5.80.02 2008.08.14 Smalltroj.gen22
Panda 9.0.0.4 2008.08.14 -
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.14 -
Rising 20.57.32.00 2008.08.14 -
Sophos 4.32.0 2008.08.14 -
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.14 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.14 -
VBA32 3.12.8.3 2008.08.14 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 -
weitere Informationen
File size: 130560 bytes
MD5...: 9c3095d0eb85a6f3ac532050591c2a85
SHA1..: acaadd9e207e903921e98c15a346ca31507bc201
SHA256: dabb382189567759304c09b10c4b89cbf56dec9ac8b858abe97f0263b86fdaf4
SHA512: 5c38da6d4b74d6073ddb420f019b12a4d12abd2ddc5a00e2fbe68596b17ca983
e25a85239a8fd517996540269626fbd901f008b766760c870d0738229f033ced
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402674
timedatestamp.....: 0x48a349bd (Wed Aug 13 20:53:17 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x1000 0x334c4 0x2600 6.47 5dc212416a9df2be00dbf0863f9d9ad4
.data 0x35000 0x1b9cc 0x1ae00 8.00 7781066dd52ab3572554e454a372a6ba
.rsrc 0x51000 0x1000 0x600 7.27 1c352ae8f8e77b51ca6c7c4f8e9a5b9c

( 0 imports )

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=9c3095d0eb85a6f3ac532050591c2a85


Alt 14.08.2008, 20:29   #6
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Ok, wie du siehst handelt es sich um einen Downloader, der munter weiter Malware nachläd.
Wenn du einen Zweitrechner zur Verfügung hast, trenne den infizierten Rechner vom Netz und lade die entspr. Tools für eine Bereinigung auf den sauberen und übertrage diese via USB-Stick, etc. auf den infizierten um sie dort zu installieren.

Am sichersten wäre es jedoch, gründlich Neuaufzusetzen, denn es bleiben bei der Art Infektion immer Reste übrig, die man nicht mit Tools entfernt bekommt.
Du kannst dich entscheiden, welchen Weg du gehn willst.

mfg
__________________
--> Trojaner:TR/Dldr.FraudLoaNC

Alt 14.08.2008, 20:33   #7
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



zu der datei rhcc2sj0et5l.exe.local gibt es nur diese angabe


0 bytes size received / Se ha recibido un archivo vacio

Alt 14.08.2008, 20:48   #8
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Okay, das heißt sie will sich nicht hochladen lassen.
Naja, lass uns mal die zwei Downloader löschen, damit die weitere Bereinigung erleichtert wird:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\lphc92sj0et5l.exe
C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe

folders to delete:
C:\Programme\rhcc2sj0et5l
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 15.08.2008, 13:13   #9
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Hallo Dark,
war spät gestern. Also eiter gehts:

Hab den Avenger gestartet. Avir hat sich noch nicht gemeldet, Desktop ist immer noch plakatiert und sehr blau.
Hier der Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\lphc92sj0et5l.exe" deleted successfully.
File "C:\Programme\rhcc2sj0et5l\rhcc2sj0et5l.exe" deleted successfully.
Folder "C:\Programme\rhcc2sj0et5l" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 15.08.2008, 13:15   #10
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



So, schonmal gut.
Jetzt geht's dem Desktop an den Kragen:

Folge der Anleitung für Malwarebytes Anti-Malware, sowie die von SUPERAntiSpyware und poste die Logfiles.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 15.08.2008, 16:04   #11
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Ok
Malware hab ich durchlaufen lassen.
Superantispyware auch, hab ich aber wohl falschen Reiter angeklickt, jetzt ist Plakat weg, aber Desktop noch superblau. Nochmal laufen lassen? ansonsten trotzdem Riesenstein vom Herz gefallen. Mannomann, wo lernt man sowas?

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

15:32:31 15.08.2008
mbam-log-8-15-2008 (15-32-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 92328
Laufzeit: 49 minute(s), 29 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 11
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\WINDOWS\system32\blphc92sj0et5l.scr (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc92sj0et5l (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcc2sj0et5l (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\rhcc2sj0et5l\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Adnin\Eigene Dateien\backup_lola\daniel\eigene_datein\Schule\Stundenplan\License\Novasphere13_demo - 03.09.2004\setup.exe (Trojan.Toolbar) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adnin\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc92sj0et5l.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc92sj0et5l.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Alt 15.08.2008, 16:07   #12
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Poste nochmal ein HijackThis Logfile und lass Malwarebytes nochmal laufen, lese davor aber die Anleitung für SmitFraudFix und führe diese aus, diesmal aber mit der Option 2 für Reinigung.

Zitat:
Mannomann, wo lernt man sowas?
Was?
mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 15.08.2008, 16:13   #13
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



na die anwendung sollcher programme, sind für mich bömische dörfer, aber hilfreich

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:44, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\PC-BIB\PCLib.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6538 bytes

Alt 15.08.2008, 16:17   #14
Silent sharK
 

Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



Na das lernt man leider nicht im Studium
So muss man sich das Wissen hier im Net verschaffen.

So zum Logfile:
Zitat:
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
Ist dir das bekannt?
Wenn nicht, lade die Datei bei Virustotal hoch und poste das Ergebnis.

Sonst nur noch die Reinigung mit Malwarebytes und SmitfraudFix.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 15.08.2008, 17:09   #15
mikeefer
 
Trojaner:TR/Dldr.FraudLoaNC - Standard

Trojaner:TR/Dldr.FraudLoaNC



2er scan.
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

18:06:56 15.08.2008
mbam-log-8-15-2008 (18-06-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 92158
Laufzeit: 48 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0


Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

was mach ichjetzt?

Antwort

Themen zu Trojaner:TR/Dldr.FraudLoaNC
aktiviert, antivir, antivirus, antivirus xp 2008, antwort, besonders, dauernde, garnicht, hintergrund, meldung, programm, sache, sachen, troja, trojaner, verständliche, überhaupt



Ähnliche Themen: Trojaner:TR/Dldr.FraudLoaNC


  1. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  2. Java-Virus JAVA/Dldr.Dermit.C, JAVA/Dldr.Kara.AB.1, JAVA/Dldr.Karame.AI
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  3. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  4. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  6. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  7. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  8. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  9. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  10. TR/Dldr.Calac.dmg und Dldr.Elly.L gefunden. Und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (25)
  11. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  12. Trojaner TR/DLdr.ZLob.DR und TR/DLdr.ZLob.DQ und TR/ZLob.FG.2.C eingefangen. Was tun?
    Log-Analyse und Auswertung - 06.01.2006 (1)
  13. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  14. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  15. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)
  16. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema Trojaner:TR/Dldr.FraudLoaNC - Hallo, vielleicht kennt jemand den o. g. Trojaner, den mir mein AntiVir im 12 sec Turnus anzeigt. Außerdem habe ich eine dauernde Antivirus XP 2008 - Meldung, obwohl ich das - Trojaner:TR/Dldr.FraudLoaNC...
Archiv
Du betrachtest: Trojaner:TR/Dldr.FraudLoaNC auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.